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La norme 


La norme est destinee a servir de base dans les relations entre partenaires economiques, scientifiques, 
techniques et sociaux. 

La norme par nature est d’application volontaire. Referencee dans un contrat, elle s’impose aux parties. 
Line reglementation peut rendre d’application obligatoire tout ou partie d’une norme. 

La norme est un document elabore par consensus au sein d’un organisme de normalisation par 
sollicitation des representants de toutes les parties interessees. Son adoption est precedee d’une enquete 
publique. 

La norme fait I’objet d’un examen regulier pour evaluer sa pertinence dans le temps. 

Toute norme est reputee en vigueur a partir de la date presente sur la premiere page. 


Pour comprendre les normes 


L’attention du lecteur est attiree sur les points suivants : 

Seules les formes verbales doit et doivent sont utilisees pour exprimer une ou des exigences qui doivent etre 
respectees pour se conformer au present document. Ces exigences peuvent se trouver dans le corps de la 
norme ou en annexe qualifiee de «normative». Pour les methodes d’essai, I’utilisation de I’infinitif correspond 
a une exigence. 

Les expressions telles que, il convient et il est recommande sont utilisees pour exprimer une possibility 
preferee mais non exigee pour se conformer au present document. Les formes verbales peut et peuvent sont 
utilisees pour exprimer une suggestion ou un conseil utiles mais non obligatoires, ou une autorisation. 

En outre, le present document peut fournir des renseignements supplementaires destines a faciliter la 
comprehension ou I'utilisation de certains elements ou a en clarifier I'application, sans enoncer d'exigence 
a respecter. Ces elements sont presentes sous forme de notes ou d'annexes informatives. 


Commission de normalisation 


Une commission de normalisation reunit, dans un domaine d’activite donne, les expertises necessaires a 
I’elaboration des normes frangaises et des positions frangaises sur les projets de norme europeenne ou 
internationale. Elle peut egalement preparer des normes experimentales et des fascicules de documentation. 

Si vous souhaitez commenter ce texte, faire des propositions devolution ou participer a sa revision, adressez 
vous a <norminfo@afnor.org>. 

La composition de la commission de normalisation qui a elabore le present document est donnee ci-apres. 
Lorsqu’un expert represente un organisme different de son organisme d’appartenance, cette information 
apparait sous la forme : organisme d’appartenance (organisme represente). 
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Avant-propos 

L'ISO (Organisation internationale de normalisation) est une federation mondiale d'organismes nationaux de 
normalisation (comites membres de I'ISO). ^elaboration des Normes internationales est en general confiee 
aux comites techniques de I'ISO. Chaque comite membre interesse par une etude a le droit de faire partie du 
comite technique cree a cet effet. Les organisations internationales, gouvernementales et non 
gouvernementales, en liaison avec I'ISO participent egalement aux travaux. L'ISO collabore etroitement avec 
la Commission electrotechnique internationale (CEI) en ce qui concerne la normalisation electrotechnique. 

Les Normes internationales sont redigees conformement aux regies donnees dans les Directives ISO/CEI, 
Partie 2. 

La tache principale des comites techniques est d'elaborer les Normes internationales. Les projets de Normes 
internationales adoptes par les comites techniques sont soumis aux comites membres pour vote. Leur 
publication comme Normes internationales requiert I'approbation de 75 % au moins des comites membres 
votants. 

L'attention est appelee sur le fait que certains des elements du present document peuvent faire I'objet de 
droits de propriete intellectuelle ou de droits analogues. L'ISO ne saurait etre tenue pour responsable de ne 
pas avoir identifie de tels droits de propriete et averti de leur existence. 

L'ISO 22301 a ete elaboree par le comite technique ISO/TC 223, Securite societale. 

La presente version frangaise de I'ISO 22301 correspond a la version anglaise publiee le 2012-05-15 et 
corrigee le 2012-06-15. 
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0 Introduction 

0.1 Generalites 

La presente Norme internationale specifie les exigences relatives a I'etablissement et au management d'un 
Systeme de Management de la Continuity d'Activite (SMCA) efficace. 

Un SMCA souligne I'importance : 

— d'une comprehension des besoins de I'organisation et de la necessity de mettre en place une politique et 
des objectifs en matiere de management de la continuity d'activite ; 

— de la mise en oeuvre et de I'exploitation de controles et de mesures de gestion de la capacity globale 
d'une organisation a gerer des incidents perturbateurs ; 

— d'une surveillance et d'une revue des performances et de I'efficacite du SMCA ; et 

— d'une amelioration continue sur la base de mesures objectives. 

Comme tout autre systeme de management, un SMCA integre les elements cles suivants : 

a) une politique ; 

b) des personnes ayant des responsabilites definies ; 

c) des processus de management se rapportant a : 

1) la politique ; 

2) la planification ; 

3) la mise en oeuvre et le fonctionnement; 

4) revaluation des performances ; 

5) la revue de direction ; et 

6) I'amelioration ; 

d) une documentation fournissant des preuves tangibles ; et 

e) tous les processus de management de la continuity d'activite pertinents pour I'organisation. 

La continuity d'activite contribue a rendre la society plus resiliente. II est possible qu’il faille impliquer dans le 
processus de reprise la communaute dans son ensemble, ainsi que I'impact de I'environnement de 
I'organisation et done I’impact des autres organisations sur I’organisation elle-meme. 
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0.2 Le modele Planifier-Deployer-Controler-Agir (Plan-Do-Check-Act, PDCA) 

La presente Norme internationale applique le modele PDCA a la planification, I'etablissement, la mise en 
oeuvre, le fonctionnement, la surveillance, la revue, le maintien et I'amelioration continue de I'efficacite du 
SMCA d'une organisation. 

Ceci assure un degre de coherence avec d'autres normes de systeme de management, telles que I'lSO 9001, 
Systemes de management de la qualite, I'lS014001, Systemes de management environnemental, 
I'ISO/CEl 27001, Systemes de management de la securite de I'information, i'ISO/CEI 20000-1, Technologies 
de I'information — Gestion des services et I'lSO 28000, Specifications relatives aux systemes de 
management de la surete de la chafne d'approvisionnement, permettant ainsi une mise en oeuvre et un 
fonctionnement coherents et integres avec les systemes de management associes. 

La Figure 1 illustre comment un SMCA prend pour entrees les parties interessees, les exigences de 
management de la continuity et comment, via les actions et les processus necessaires, il produit des sorties 
en matiere de continuity (c'est-a-dire une continuity de I'activite geree) qui satisfont a ces exigences. 



Figure 1 — Modele PDCA applique aux processus d'un SMCA 
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Tableau 1 — Explication du modele PDCA 


Planifier 

(Etablir) 

Etablir une politique, des objectifs, des cibles, des controles, des processus et des 
procedures de continuite d'activite pertinents pour ameliorer la continuite d'activite afin 
d’obtenir des resultats alignes avec les politiques et les objectifs globaux de I'organisation. 

Depioyer 

(Mettre en place et en 
oeuvre) 

Mettre en oeuvre et rendre operationnels la politique, les controles, les processus et les 
procedures de continuite d'activite. 

Controler 

(Superviser et reviser) 

Superviser et revoir les performances par rapport a la politique et aux objectifs de 
continuite d'activite, rendre compte des resultats a la direction pour revue et determiner et 
autoriser des actions correctives et d'amelioration. 

Agir 

(Maintenir et ameliorer) 

Maintenir et ameliorer le SMCA en entreprenant des actions correctives, sur la base des 
resultats de la revue de direction, et en reconsiderant le perimetre du SMCA ainsi que la 
politique et les objectifs de continuite d'activite. 


0.3 Elements du modele PDCA dans la presente Norme internationale 

Dans le modele PDCA presente dans le Tableau 1, les Articles 4 a 10 de la presente Norme internationale 

traitent des elements suivants : 

— I'Article 4 est une partie du theme « Planifier». II introduit les exigences necessaires pour etablir le 
contexte du SMCA tel qu'il s'applique a I'organisation, ainsi que les besoins, les exigences et le 
perimetre. 

— I'Article 5 est une partie du theme « Planifier». II resume les exigences specifiques au role joue par la 
Direction dans le SMCA, et la maniere dont la Direction communique ses attentes a I'organisation par le 
biais d'une declaration de politique. 

— I'Article 6 est une partie du theme « Planifier». II decrit les exigences relatives a I'etablissement des 
objectifs strategiques et des principes directeurs du SMCA dans son ensemble. Le contenu de I'Article 6 
ne consiste pas a mettre en place les solutions de traitement des risques decoulant de I'appreciation des 
risques, ni a etablir les objectifs de reprise issus de I'analyse d’impact sur I'activite. 

NOTE Les exigences relatives a I'analyse d’impact sur I'activite et au processus depreciation du risque sont 

specifies de maniere detaillee a I'Article 8. 

— I'Article 7 est une partie du theme « Planifier». II vient a I'appui des operations du SMCA relatives a la 
determination des competences et a I'etablissement de communications avec les parties interessees, sur 
une base recurrente/au besoin, tout en documentant, controlant, tenant a jour et conservant la 
documentation requise. 

— I'Article 8 est une partie du theme « Faire ». II definit les exigences relatives a la continuite d'activite, 
determine la maniere de les traiter et developpe les procedures afin de gerer un incident perturbateur. 

— I'Article 9 est une partie du theme « Controler». II resume les exigences necessaires pour mesurer la 
performance du management de la continuite d'activite, la conformite du SMCA a la presente Norme 
internationale et aux attentes de la Direction, et recherche les retours d'information de la direction 
concernant les attentes. 

— I'Article 10 est une partie du theme « Agir ». II identifie et intervient sur une non-conformite du SMCA par 
le biais d'une action corrective. 
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Security societale — Systemes de management de la continuity 
d'activite — Exigences 


1 Domaine d’application 

La presente Norme internationale relative a la gestion de la continuite d'activite specifie les exigences pour 
planifier, etablir, mettre en place et en oeuvre, controler, reviser, maintenir et ameliorer de maniere continue 
un systeme de management documente afin de se proteger des incidents perturbateurs, reduire leur 
probability de survenance, s'y preparer, y repondre etde s’en retablir lorsqu'ils surviennent. 

Les exigences specifies dans la presente Norme internationale sont generiques et prevues pour etre 
applicables a toutes les organisations, ou parties de celles-ci, independamment du type, de la taille et de la 
nature de I'organisation. Le champ d'application de ces exigences depend de I'environnement et de la 
complexity de fonctionnement de I'organisation. 

La presente Norme internationale ne vise pas a uniformiser la structure d'un systeme de management de la 
continuite d'activite (SMCA), mais a permettre a une organisation de concevoir un SMCA qui soit adapte a 
ses besoins et qui satisfasse aux exigences des parties interessees. Ces besoins sont fagonnes par les 
exigences juridiques, reglementaires, organisationnelles et industrielles, les produits et les services, les 
processus employes, la taille et la structure de I'organisation et les exigences des parties interessees. 

La presente Norme internationale est applicable a tous les types et toutes les tailles d'organisations 
souhaitant: 

a) etablir, mettre en oeuvre, maintenir et ameliorer un SMCA ; 

b) assurer la conformite a la politique de continuite d'activite etablie ; 

c) demontrer cette conformite a des tiers ; 

d) faire certifier/enregistrer son SMCA par un organisme de certification tiers et accredits ; ou 

e) realiser une autoevaluation et une auto-declaration de conformite a la presente Norme internationale. 

La presente Norme internationale peut etre utilisee pour evaluer la capacity d'une organisation a satisfaire ses 
propres besoins et obligations en matiere de continuite. 


2 References normatives 

Les documents ci-apres, dans leur integrality ou non, sont des references normatives indispensables a 
I'application du present document. Pour les references datees, seule I'edition citee s'applique. Pour les 
references non datees, la derniere edition du document de reference s'applique (y compris les eventuels 
amendements). 

II n'y a aucune reference normative. 
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3 Termes et definitions 

Pour les besoins du present document, les termes et definitions suivants s'appliquent. 

3.1 

activite 

processus ou ensemble de processus executes par une organisation (ou pour son compte) qui realise ou aide 
a realiser un ou plusieurs produits et services 

EXEMPLE De tels processus comprennent la comptabilite, les centres d'appel, les technologies de I'information (IT), 
la fabrication, la distribution. 

3.2 
audit 

processus systematique, independant et documents permettant d'obtenir des preuves d'audit et de les 
evaluer de maniere objective pour determiner dans quelle mesure les criteres d'audit sont satisfaits 

NOTE 1 Un audit peut etre interne (de premiere partie) ou externe (de seconde ou tierce partie), et il peut etre combine 
(s'il associe deux disciplines ou plus). 

NOTE 2 Les termes « preuves d’audit » et « criteres d'audit » sont definis dans I'lSO 19011. 

3.3 

continuite d'activite 

capacite de I'organisation a poursuivre la fourniture de produits ou la prestation de services a des niveaux 
acceptables et prealablement definis apres un incident perturbateur 

[SOURCE : ISO 22300] 

3.4 

gestion de la continuite d'activite 

processus de management holistique qui identifie les menaces potentielles pour une organisation ainsi que 
les impacts que ces menaces, si elles se concretised, peuvent avoir sur les operations liees a I'activite de 
I'organisation, et qui fournit un cadre pour construire la resilience de I'organisation avec une capacite de 
reponse efficace preservant les interets de ses principales parties prenantes, sa reputation, sa marque et ses 
activites productrices de valeur 

3.5 

systeme de management de la continuite d'activite 
SMCA 

partie du systeme de management global qui etablit, met en oeuvre, opere, controle, revise, maintient et 
ameliore la continuite d'activite 

NOTE Le systeme de management comprend la structure organisationnelle, les politiques, les planifications, les 
responsabilites, les procedures, les processus et les ressources. 

3.6 

plan de continuite d'activite 

procedures documentees servant de guide aux organisations pour repondre, retablir, reprendre et retrouver 
un niveau de fonctionnement predefini a la suite d'une perturbation 

NOTE Ce plan couvre generalement les ressources, les services et les activites requis pour assurer la continuite des 
fonctions critiques. 

3.7 

programme de continuite d'activite 

processus continu de management et de gouvernance soutenu par la direction et dote de ressources 
appropriees pour mettre en oeuvre et maintenir le management de la continuite d'activite 
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3.8 

analyse d’impact sur I'activite 

processus d'analyse des activites et de I'effet qu'une perturbation de I'activite peut avoir sur elles 
[SOURCE : ISO 22300] 

3.9 

competence 

aptitude a mettre en pratique des connaissances et un savoir-faire pourobtenir les resultats escomptes 

3.10 

conform ite 

satisfaction d’une exigence 
[SOURCE : ISO 22300] 

3.11 

amelioration continue 

activite recurrente visant a ameliorer les performances 
[SOURCE : ISO 22300] 

3.12 

correction 

action visant a eliminer une non-conformite detectee 
[SOURCE : ISO 22300] 

3.13 

action corrective 

action visant a eliminer la cause d'une non-conformite et a eviter sa reapparition 

NOTE Dans le cas d'autres resultats indesirables, il est necessaire d'entreprendre une action visant a reduire au 
minimum ou eliminer les causes et a reduire leur impact ou eviter leur reapparition. De telles actions ne relevent pas du 
concept « d'action corrective » au sens de la presente definition. 

[SOURCE : ISO 22300] 

3.14 

document 

support d'information et I'information qu'il contient 

NOTE 1 Le support peut etre du papier, un disque informatique magnetique, electronique ou optique, une 
photographie ou une configuration de reference, ou une combinaison de ceux-ci. 

NOTE 2 Un ensemble de documents, par exemple des specifications et des enregistrements, est souvent appele 
« documentation ». 

3.15 

information documentee 

information qui necessite d'etre controlee et tenue a jour par une organisation et support sur lequel elle est 
contenue 

NOTE 1 Les informations documentees peuvent se presenter dans tout format et sur tout support et provenir de toute 
source. 
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NOTE 2 Les informations documentees peuvent se referer: 

— au systeme de management, y compris les processus associes ; 

— aux informations generees en vue du fonctionnement de I'organisation (documentation); 

— aux preuves des resultats obtenus (enregistrements). 


3.16 

efficacite 

niveau de realisation des activites planifiees et d’obtention des resultats escomptes 
[SOURCE : ISO 22300] 

3.17 

evenement 

occurrence ou changement d'un ensemble particulier de circonstances 

NOTE 1 Un evenement peut etre unique ou se reproduire et peut avoir plusieurs causes. 

NOTE 2 Un evenement peut consister en quelque chose qui ne se produit pas. 

NOTE 3 Un evenement peut parfois etre qualifie « d'incident » ou « d'accident ». 

NOTE 4 Un evenement sans consequences peut egalement etre appele « quasi-accident» ou « incident» ou 

« presque succes ». 

[SOURCE : ISO/CEI Guide 73] 

3.18 

exercice 

processus visant a se former, evaluer, mettre en pratique et ameliorer les performances au sein d'une 
organisation 

NOTE 1 Des exercices peuvent etre utilises pour: valider des politiques, des plans, des procedures, une formation, un 
equipement et des accords entre organisations ; clarifier et former le personnel a des roles et des responsabilites ; 
ameliorer la coordination et les communications entre organisations ; identifier les lacunes en matiere de ressources ; 
ameliorer les performances individuelles et identifier les opportunites d'amelioration et les opportunites controlees 
d'improvisation. 

NOTE 2 Un test est un type unique et particulier d'exercice qui integre I'attente de la reussite ou de I'echec d’un 
element parmi les buts ou les objectifs de I'exercice planifie. 

[SOURCE : ISO 22300] 

3.19 

incident 

situation qui peut etre, ou conduire a, une perturbation, une perte, une urgence ou une crise 
[SOURCE : ISO 22300] 

3.20 

infrastructure 

systeme d'installations, d'equipements et de services necessaire au fonctionnement d'une organisation 
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3.21 

partie interessee 

partie prenante 

personne ou organisation qui peut avoir une incidence sur, etre affectee ou se sentir affectee par une decision 
ou une activite 

NOTE II peut s'agir d'un individu ou d'un groupe ayant un interet dans les decisions ou activites d'une organisation. 

3.22 

audit interne 

audit realise par, ou pour le compte de, I’organisation elle-meme pour la revue de direction et d’autres besoins 
internes et qui peut servir de base a I’autodeclaration de conformity de I’organisation 

NOTE Dans de nombreux cas et en particulier pour les petites organisations, I’independance peut etre demontree 
par I’absence de responsabilite vis-a-vis de I’activite a auditer. 

3.23 

declenchement 

acte consistant a declarer que les dispositions en matiere de continuity d'activite d'une organisation doivent 
etre mises en oeuvre afin de poursuivre la livraison de produits cles ou la prestation de services cles 

3.24 

systeme de management 

ensemble d'elements correles ou interactifs d'une organisation, utilises pour etablir des politiques et des 
objectifs, et de processus pour atteindre ces objectifs 

NOTE 1 Un systeme de management peut concerner une seule ou plusieurs disciplines. 

NOTE 2 Les elements du systeme comprennent la structure organisationnelle, les roles et responsabilites, la 
planification, le fonctionnement, etc. 

NOTE 3 Le perimetre d'un systeme de management peut comprendre I'ensemble de I'organisation, des fonctions 
specifiques et identifies de I'organisation, des sections specifiques et identifies de I'organisation, ou une ou plusieurs 
fonctions dans un groupe d'organisations. 

3.25 

duree maximale d’interruption acceptable 

DMIA [en anglais: MAO (maximum acceptable outage)] 

temps necessaire pour que les impacts defavorables pouvant resulter de la non fourniture d'un produit/service 
ou de la non realisation d'une activite, deviennent inacceptables 

NOTE Voir aussi « duree maximale tolerable de perturbation ». 

3.26 

duree maximale tolerable de perturbation 

DMTP [en anglais: MTPD (maximum tolerable period of disruption)] 

temps necessaire pour que les impacts defavorables pouvant resulter de la non fourniture d'un produit/service 
ou de la non realisation d'une activite, deviennent inacceptables 

NOTE Voir aussi « duree maximale d’interruption acceptable ». 

3.27 

mesurage 

processus visant a determiner une valeur 

3.28 

objectif minimal de continuity d'activite 

OMCA [en anglais: MBCO (minimum business continuity objective)] 

niveau minimal de services et/ou de produits acceptable par I'organisation pour atteindre ses objectifs metier 
pendant une perturbation 
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3.29 

supervision 

determination de I'etat d'un systeme, d'un processus ou d'une activite 

NOTE Pour determiner cet etat, il peut etre necessaire de verifier, surveiller ou observer avec une vision critique. 

3.30 

accord d'entraide mutuel 

entente prealable entre deux entites ou plus par laquelle chacune d'elles s'engage a fournir assistance aux 
autres 

[SOURCE : ISO 22300] 

3.31 

non-conformite 

non-satisfaction d’une exigence 

[SOURCE : ISO 22300] 

3.32 
objectif 

resultat a atteindre 

NOTE 1 Un objectif peut etre strategique, tactique ou operationnel. 

NOTE 2 Les objectifs peuvent se rapporter a differentes disciplines (telles que la finance, les enjeux sanitaires et de 
securite, et les enjeux environnementaux) et ils peuvent s'appliquer a divers niveaux [tels que strategie, organisation dans 
son ensemble, projet, produit et processus]. 

NOTE 3 Un objectif peut etre exprime autrement, par exemple sous forme de resultat escompte, de mission, de critere 
operationnel, en tant qu'objectif de securite societale ou par le biais d'un autre terme ayant un sens similaire (par exemple 
finalite, but, cible). 

NOTE 4 Dans le contexte des normes de systemes de management de la securite societale, les objectifs encadres par 
la norme sont etablis par I'organisation, en coherence avec sa politique de securite societale, en vue d'obtenir des 
resultats specifiques. 

3.33 

organisation 

personne ou groupe de personnes ayant leur propre structure fonctionnelle avec des responsabilites, 
autorites et relations en vue d'atteindre ses objectifs 

NOTE 1 Le concept d'organisation comprend, sans s’y limiter, les notions de travailleur independant, compagnie, 
societe, firme, entreprise, autorite, groupement, organisation caritative ou institution, ou une partie ou une combinaison 
des organisations precedentes, a responsabilite limitee ou sous un autre statut, de droit public ou prive. 

NOTE 2 Pour les organisations ayant plusieurs unites d'exploitation, une seule unite d'exploitation peut etre definie en 
tant qu'organisation. 

3.34 

externaliser 

passer un accord en vertu duquel une organisation externe effectue une partie de la fonction ou met en 
oeuvre une partie du processus de I’organisation 

NOTE L'organisation externe n'est pas incluse dans le perimetre du systeme de management, contrairement a la 
fonction ou au processus externalise qui en fait bien partie. 
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3.35 

performance 

resultat mesurable 

NOTE 1 La performance peut porter sur des constatations quantitatives ou qualitatives. 

NOTE 2 La performance peut concerner le management d'activites, de processus, de produits (y compris services), de 

systemes ou d’organisations. 

3.36 

evaluation de la performance 

processus visant a determiner des resultats mesurables 

3.37 

personnel 

personnes travaillant pour I'organisation et sous le controle de celle-ci 

NOTE Le concept de personnel inclut, sans toutefois s'y limiter, les employes, le personnel a temps partiel et le 
personnel interimaire. 

3.38 

politique 

intentions et orientations d'une organisation, telles qu'elles sont officiellement formulees par sa direction 

3.39 

procedure 

maniere specifiee d'effectuer une activite ou un processus 

3.40 

processus 

ensemble d'activites correlees ou interactives qui transforme des elements d'entree en elements de sortie 

3.41 

produits et services 

resultats fournis par une organisation au benefice de ses clients, ses destinataires et les parties interessees 
(par exemple des articles manufactures, une assurance automobile et des soins infirmiers communautaires) 

3.42 

activites prioritaires 

activites auxquelles priorite doit etre donnee a la suite d'un incident afin d'en attenuer les impacts 

NOTE Les termes couramment utilises pour decrire les activites de ce groupe comprennent: critiques, essentielles, 
vitales, urgentes et cles. 

[SOURCE : ISO 22300] 

3.43 

enregistrement 

declaration des resultats obtenus ou preuves des activites realisees 

3.44 

point de recuperation des donnees 
RPO 

Point a partie duquel les informations utilisees par une activite doivent etre restaurees afin de permettre son 
fonctionnement a la reprise 

NOTE II peut egalement etre designe en tant que « perte maximale de donnees ». 
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3.45 

objectif de delai de reprise 
RTO 

duree apres un incident durant laquelle : 

— un produit ou un service doit etre repris, ou 

— une activite doit etre reprise, ou 

— des ressources doivent etre retablies 

NOTE Pour les produits, les services et les activites, I'objectif de delai de reprise doit etre inferieur au temps qu’il 
faudrait pour que les impacts defavorables qui resulteraient du defaut de fourniture d'un produit/service ou de I’absence de 
realisation d'une activite, deviennent inacceptables. 

3.46 

exigence 

besoin ou attente qui est formule, generalement implicite ou obligatoire 

NOTE 1 « Generalement implicite » signifie qu’il est habituel ou de pratique courante pour I'organisation et les parties 

interessees que le besoin ou I’attente a prendre en consideration soit implicite. 

NOTE 2 Une exigence specifiee est une exigence etablie, par exemple dans une information documentee. 

3.47 

ressources 

ensemble des biens, du personnel, des competences, des informations, de la technologie (y compris I'usine et 
ses equipements), des locaux et des fournitures et informations (qu'elles soient electroniques ou non) dont 
doit disposer une organisation, au moment requis, pour fonctionner et atteindre son objectif 

3.48 
risque 

effet de I’incertitude sur I'atteinte des objectifs 

NOTE 1 Un effet est un ecart, positif ou negatif, par rapport a une attente. 

NOTE 2 Les objectifs peuvent avoir differents aspects (par exemple enjeux financiers, sanitaires et de securite, ou 
environnementaux) et peuvent concerner differents niveaux (strategie, projet, produit et processus ou organisation toute 
entiere). Un objectif peut etre exprime autrement, par exemple sous forme de resultat escompte, de mission ou de critere 
operationnel, en tant qu'objectif de continuite d'activite ou par le biais d'un autre terme ayant un sens similaire (par 
exemple finalite, but, cible). 

NOTE 3 Un risque est souvent caracterise en reference a des evenements potentiels (Guide ISO 73, 3.5.1.3) et des 
consequences potentielles (Guide ISO 73, 3.6.1.3) ou a une combinaison des deux. 

NOTE 4 Un risque est souvent exprime en termes de combinaison des consequences d'un evenement (y compris des 
changements de circonstances) etde sa vraisemblance (Guide ISO 73, 3.6.1.1). 

NOTE 5 L'incertitude est I'etat, meme partiel, de defaut d'information concernant la comprehension ou la connaissance 
d'un evenement, de ses consequences ou de sa vraisemblance. 

NOTE 6 Dans le contexte des normes de systemes de management de la continuite d'activite, les objectifs de 
continuite d’activite sont fixes par I'organisation, en coherence avec sa politique de continuite d’activite, en vue d'atteindre 
des resultats specifiques. Lorsque les termes « management du risque et des composantes du risque » s’appliquent, il 
convient de I'associer aux objectifs de I'organisation qui comprennent, sans toutefois s'y limiter, les objectifs de continuite 
d'activite specifies en 6.2. 

[SOURCE : ISO/CEI Guide 73] 


8 

Extract from GDN 


© ISO 2012 - Tous droits reserves 

This document is a working copy 



Afnor, Saga Web le 04/09/2014 a 11:20 

Pour : EADS FRANCE 


NFISO 22301:2013-08 


ISO 22301:2012(F) 


3.49 

appetence au risque 

niveau et type de risque qu'une organisation est prete a accepter 

3.50 

appreciation du risque 

ensemble du processus d'identification des risques, d'analyse du risque et devaluation du risque 
[SOURCE : ISO Guide 73] 

3.51 

management du risque 

activites coordonnees dans le but de diriger et piloter une organisation vis-a-vis du risque 
[SOURCE : ISO Guide 73] 

3.52 
test 

methode devaluation ; moyen de determiner la presence, la qualite ou la veracite de quelque chose 
NOTE 1 Les tests peuvent se referer a un « essai ». 

NOTE 2 Les tests sont souvent appliques a des plans de continuity 

[SOURCE : ISO 22300] 

3.53 

direction 

personne ou groupe de personnes qui dirige et controle une organisation au plus haut niveau 

NOTE 1 La direction a le pouvoir de deleguer son autorite et de fournir des ressources au sein de I'organisation. 

NOTE 2 Si le perimetre du systeme de management couvre uniquement une partie de I’organisation, alors la direction 

se refere a ceux qui dirigent et controlent cette partie de I’organisation. 

3.54 

verification 

confirmation, par des preuves, que les exigences specifies ont ete satisfaites 

3.55 

environnement de travail 

ensemble des conditions dans lesquelles un travail est effectue 

NOTE Les conditions comprennent des facteurs physiques, sociaux, psychologiques et environnementaux (tels que 
la temperature, les systemes de reconnaissance, I'ergonomie et la composition de I'air). 

[SOURCE : ISO 22300] 


4 Contexte de I'organisation 

4.1 Comprehension de I'organisation et de son contexte 

L'organisation doit determiner les enjeux externes et internes pertinents vis-a-vis de sa mission, et qui influent 
sur sa capacite a obtenir le(s) resultat(s) attendu(s) de son SMCA. 

Ces enjeux doivent etre pris en compte lors de I'etablissement, de la mise en oeuvre et du maintien du SMCA 
de I'organisation. 
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L'organisation doit identifier et documenter les elements suivants : 

a) les activites de l'organisation, ses fonctions, ses services, ses produits, ses partenariats, les chaTnes 
d'approvisionnement, ses relations avec les parties interessees, et I'impact potentiel lie a un incident 
perturbateur; 

b) les liens entre la politique de continuite d'activite et les objectifs de l'organisation ainsi que les autres 
politiques, y compris sa strategie globale de management du risque ; et 

c) I’appetence au risque de l'organisation. 

Lors de I'etablissement du contexte, l'organisation doit: 

1) exprimer clairement ses objectifs, y compris ceux lies a la continuite d'activite ; 

2) definir les facteurs externes et internes a I'origine de I'incertitude qui engendre un risque ; 

3) etablir les criteres de risque en prenant en compte le gout du risque ; et 

4) definir la finalite du SMCA. 

4.2 Comprehension des besoins et attentes des parties interessees 

4.2.1 Generalites 

Lors de I'etablissement de son SMCA, l'organisation doit determiner: 

a) les parties interessees qui sont concernees par le SMCA ; et 

b) les exigences de ces parties interessees (c'est-a-dire leurs besoins et leurs attentes, que ceux-ci soient 
formules, generalement de maniere implicite, ou obligatoires). 

4.2.2 Exigences legales et reglementaires 

L'organisation doit etablir, mettre en oeuvre et tenir a jour une (des) procedure(s) lui permettant d'identifier, 
d'avoir acces et d'evaluer les exigences legales et reglementaires applicables auxquelles elle se soumet, en 
ce qui concerne la continuite de ses operations, produits et services, ainsi que les interets des parties 
interessees concernees. 

L'organisation doit s’assurer que les exigences legales, reglementaires ou toutes autres en vigueur 
auxquelles elle est soumise sont prises en compte lorsqu'elle etablit, met en oeuvre et tient a jour son SMCA. 

L'organisation doit documenter ces informations et les tenir a jour. Toute nouveaute ou modification des 
exigences legales et reglementaires et des autres exigences doit etre communiquee aux employes concernes 
et a toutes les autres parties interessees. 

4.3 Determination du domaine d’application du systeme de management de la continuite 
d'activite 

4.3.1 Generalites 

Pour etablir le domaine d’application du SMCA, l'organisation doit en determiner les limites et I'applicabilite. 
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Lorsqu'elle etablit ce domaine d’application, I’organisation doit prendre en compte : 

— les enjeux externes et internes auxquels il est fait reference en 4.1 ; et 

— les exigences auxquelles il est fait reference en 4.2. 

Le perimetre doit etre disponible sous forme d'information documentee. 

4.3.2 Domaine d’application du SMCA 

L'organisation doit: 

a) determiner les parties de l'organisation a inclure dans le SMCA ; 

b) definir les exigences relatives au SMCA, compte tenu de la mission de l'organisation, de ses buts, de ses 
obligations internes et externes (y compris celles liees aux parties interessees) et de ses responsabilites 
legales et reglementaires ; 

c) identifier les produits, les services et toutes activites associees entrant dans le domaine d’application du 
SMCA ; 

d) prendre en compte les besoins et les interets des parties interessees, tels que les clients, les 
investisseurs, les actionnaires, la chaTne d'approvisionnement, les suggestions et besoins, les attentes et 
les interets du public et/ou de la communaute (lorsque necessaire); et 

e) definir le domaine d’application du SMCA en termes et en fonction de la taille, de la nature et de la 
complexite de l'organisation. 

Lors de la definition du domaine d’application, l'organisation doit documenter et expliquer les exclusions. De 
telles exclusions ne doivent pas affecter la capacite et la responsabilite de l'organisation a assurer la 
continuite de I'activite et des operations conformement d’une part aux exigences du SMCA, telles que 
determinees par I'analyse des impacts sur I'activite ou I'appreciation du risque, et d’autre part aux exigences 
legales ou reglementaires applicables. 

4.4 Systeme de management de la continuite d'activite 

L'organisation doit etablir, mettre en oeuvre, tenir a jour et continuellement ameliorer un SMCA, y compris les 
processus necessaires et leurs interactions, conformement aux exigences de la presente Norme 
internationale. 


5 Leadership 

5.1 Leadership et engagement 

Les membres de la Direction et les autres managers concernes au sein de l'organisation doivent faire preuve 
de leadership en ce qui concerne le SMCA. 

EXEMPLE Ce leadership et cet engagement peuvent etre demontres en incitant et en responsabilisant les 
personnes pour qu’elles contribuent a I'efficacite du SMCA. 
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5.2 Engagement de la direction 

La direction doit faire preuve de leadership et affirmer son engagement en faveur du SMCA en : 

— s'assurant que des politiques et des objectifs du SMCA sont etablis et sont compatibles avec I'orientation 
strategique de I'organisation ; 

— s'assurant que les exigences liees au systeme de management de la continuite d'activite sont integrees 
aux processus metier de I'organisation ; 

— s’assurant que les ressources necessaires pour le systeme de management de la continuite d'activite 
sont disponibles ; 

— communiquant sur I’importance de disposer d'un systeme de management de la continuite d'activite 
efficace et de se conformer aux exigences liees a ce systeme ; 

— s'assurant que le SMCA atteint le ou les resultats escomptes ; 

— orientant et soutenant les personnes pour qu'elles contribuent a I'efficacite du SMCA ; 

— promouvant I’amelioration continue ; et 

— aidant les autres managers concernes a faire egalement preuve de leadership et d'engagement des lors 
que cela s'applique a leurs domaines de responsabilite. 

NOTE 1 Dans la presente Norme internationale, il convient d'interpreter le terme « metier » au sens large, c’est-a-dire 
comme se referant aux activites liees a I’existence meme de I'organisation. 

La direction doit fournir des preuves de son engagement en faveur de I'etablissement, de la mise en oeuvre, 
de I'exploitation, de la surveillance, de la revue, de la tenue a jour et de I'amelioration du SMCA en : 

— etablissant une politique de continuite d'activite ; 

— s'assurant que les objectifs et les plans du SMCA sont etablis ; 

— etablissant les roles, les responsabilites et les competences en matiere de management de la continuite 
d'activite ; et 

— designant une ou plusieurs personnes en tant que responsables du SMCA, ces personnes ayant 
I'autorite et les competences appropriees pour assumer la responsabilite de la mise en oeuvre et de la 
mise a jour du SMCA. 

NOTE 2 Ces personnes peuvent assumer d'autres responsabilites au sein de I'organisation. 

La Direction doit s’assurer que les responsabilites et autorites des autres managers concernes sont attributes 
et communiquees au sein de I’organisation en : 

— definissant les criteres d'acceptation des risques et les niveaux de risque acceptables ; 

— s'engageant activement dans des exercices et des tests ; 

— s'assurant que des audits internes du SMCA sont menes ; 

— menant des revues de direction du SMCA ; et 

— demontrant son engagement a oeuvrer pour I'amelioration continue. 
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5.3 Politique 

La Direction doit etablir une politique de continuite d'activite qui : 

a) est adaptee a la mission de I'organisation ; 

b) fournit un cadre pour I’etablissement d’objectifs de continuite d'activite ; 

c) inclut I'engagement de satisfaire aux exigences applicables ; 

d) inclut I'engagement d'oeuvrer pour I'amelioration continue du SMCA. 

La politique du SMCA doit: 

— etre disponible sous forme d’information documentee ; 

— etre communiquee au sein de I'organisation ; 

— etre mise a la disposition des parties interessees, le cas echeant; 

— faire I'objet d'une revue, a des intervalles definis et en cas de modifications significatives, afin de 
s'assurer qu'elle est toujours appropriee. 

L'organisation doit conserver des informations documentees sur la politique de continuite d'activite. 

5.4 Roles, responsabilites et autorites au sein de I’organisation 

La Direction doit s’assurer que les responsabilites et autorites des autres managers concernes sont attributes 
et communiquees au sein de I’organisation. 

La Direction doit designer qui a la responsabilite et I’autorite de : 

a) s’assurer que le systeme de management est conforme aux exigences de la presente Norme 
internationale ; et 

b) rendre compte a la Direction des performances du SMCA. 

6 Planification 

6.1 Actions face aux risques et opportunites 

Lorsqu’elle congoit son SMCA, I'organisation doit tenir compte des enjeux auxquels il est fait reference en 4.1 
et des exigences de 4.2 et determiner les risques et opportunites qui necessitent d’etre abordes pour: 

— s'assurer que le systeme de management peut atteindre le ou les resultats escomptes ; 

— empecher ou limiter les effets indesirables ; et 

— appliquer une demarche d’amelioration continue ; 
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L'organisation doit planifier: 

a) les actions menees du fait des risques et opportunites ; 

b) la maniere : 

1) d’integrer et de mettre en oeuvre ces actions au sein des processus du SMCA (voir 8.1); et 

2) d’evaluer I’efficacite de ces actions (voir 9.1). 

6.2 Objectifs de continuite d'activite et plans pour les atteindre 

La direction doit s'assurer que les objectifs de continuite d'activite sont etablis et communiques aux fonctions 
et niveaux concernes au sein de l'organisation. 

Les objectifs de continuite d'activite doivent: 

a) etre coherents avec la politique de continuite d'activite ; 

b) tenir compte du niveau minimal de fourniture de produits et services acceptable pour que l'organisation 
atteigne ses objectifs ; 

c) etre mesurables ; 

d) tenir compte des exigences applicables ; et 

e) etre surveilles et mis a jour quand c’est necessaire. 

L'organisation doit conserver des informations documentees sur les objectifs de continuite d'activite. 

Pour atteindre ses objectifs de continuite d'activite, l'organisation doit determiner: 

— qui sera responsable ; 

— ce qui sera fait; 

— les ressources qui seront necessaires ; 

— les echeances ; et 

— la fagon dont les resultats seront evalues. 

7 Support 
7.1 Ressources 

L'organisation doit identifier et fournir les ressources necessaires a I'etablissement, la mise en oeuvre, la mise 
a jour et I'amelioration continue du SMCA. 
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7.2 Competences 

L'organisation doit: 

a) determiner les competences necessaires de la ou des personnes effectuant, sous son controle, un travail 
qui a une incidence sur ses performances ; 

b) s’assurer que ces personnes sont competentes sur la base d'une formation initiale ou professionnelle et 
d'une experience appropriees ; 

c) le cas echeant, mener des actions pour acquerir les competences necessaires et evaluer I'efficacite des 
actions entreprises ; 

d) conserver des informations documentees appropriees comme preuves de ces competences. 

NOTE Les actions envisageables peuvent notamment inclure la formation, I'encadrement ou la reaffectation du 
personnel actuellement employe ; le recrutement ou la signature d’un contrat avec des personnes competentes. 

7.3 Sensibilisation 

Les personnes effectuant un travail sous le controle de l'organisation doivent: 

a) etre sensibilisees a la politique de continuite d'activite ; 

b) avoir conscience de leur contribution a I'efficacite du SMCA, y compris les effets positifs d'une 
amelioration des performances du management de la continuite d'activite ; 

c) avoir conscience des implications de toute non-conformite aux exigences requises par le SMCA ; et 

d) avoir conscience de leur propre role durant des incidents perturbateurs. 

7.4 Communication 

L'organisation doit determiner les besoins de communication interne et externe pertinents pour le SMCA, et 
notamment: 

a) sur quels sujets communiquer; 

b) a quels moments communiquer; 

c) avec qui communiquer. 

L'organisation doit etablir, mettre en oeuvre et tenir a jour une ou des procedures pour: 

— la communication interne entre les parties interessees et les employes au sein de l'organisation ; 

— la communication externe avec les clients, les entites partenaires, les collectivites locales et les autres 
parties interessees, y compris les medias ; 

— la reception, la documentation et la reponse a une communication emanant de parties interessees ; 
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— I'adaptation et I'integration d'un systeme consultatif national ou regional sur les menaces, ou d'un 
systeme equivalent, dans la planification et I'exploitation, le cas echeant; 

— la garantie d'une disponibilite des moyens de communication au cours d'un incident perturbateur; 

— la facilitation d'une communication structuree avec les autorites appropriees et I'assurance de 
I'interoperabilite des multiples organismes et personnel d'intervention, le cas echeant; et 

— le fonctionnement et les tests des capacites de communication devant etre utilises pendant une 
perturbation des communications normales. 

NOTE D'autres exigences relatives a la communication en reponse a un incident sont specifies en 8.4.3. 

7.5 Informations documentees 

7.5.1 Generalites 

Le SMCA de I'organisation doit inclure : 

— les informations documentees exigees par la presente Norme internationale ; et 

— les informations documentees que I'organisation juge necessaires a I'efficacite du SMCA. 

NOTE L’etendue des informations documentees dans le cadre d'un SMCA peut differer selon I'organisation en 
fonction de : 

— la faille de I'organisation, ses domaines d'activite et ses processus, produits et services ; 

— la complexite des processus et de leurs interactions ; et 

— la competence des personnes. 

7.5.2 Creation et mise a jour 

Quand elle cree et met a jour ses informations documentees, I'organisation doit s'assurer que les elements 
suivants sont appropries : 

a) identification et description (par exemple titre, date, auteur, numero de reference) ; 

b) format (par exemple langue, version logicielle, graphiques), support (par exemple papier, electronique), et 
revue et validation du caractere approprie et adequat des informations. 

7.5.3 Maitrise des informations documentees 

Les informations documentees exigees par le SMCA et par la presente Norme internationale doivent etre 
maTtrisees pour s’assurer: 

a) qu'elles sont disponibles et propres a I'usage, ou et quand elles sont necessaires ; 

b) qu'elles sont correctement protegees (par exemple, de toute perte de confidentialite, utilisation 
inappropriee ou perte d'integrite). 
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Pour maTtriser les informations documentees, I'organisation doit s'interesser aux activites suivantes, quand 
elles lui sont applicables : 

— distribution, acces, recuperation et utilisation ; 

— stockage et conservation, y compris preservation de la lisibilite ; 

— maTtrise des modifications (par exemple, controle des versions) ; 

— duree de conservation et suppression des informations ; 

— extraction et utilisation ; 

— preservation de la lisibilite (c'est-a-dire suffisamment claires pour etre lues); et 

— prevention de I’usage involontaire d'informations obsoletes. 

Les informations documentees d'origine externe que I'organisation juge necessaires a la planification et au 
fonctionnement du SMCA doivent etre identifies comme il convient et maTtrisees. 

Lorsque I'organisation met en place la maTtrise des informations documentees, elle doit s'assurer de 
I'existence d'une protection adequate des informations documentees (par exemple protection contre la 
compromission, la modification non autorisee ou la suppression). 

NOTE L'acces implique une decision concernant I'autorisation de consulter les informations documentees, ou 
I'autorisation et I'autorite de consulter et modifier les informations documentees, etc. 


8 Fonctionnement 

8.1 Planification operationnelle et maTtrise 

L'organisation doit planifier, mettre en oeuvre et maTtriser les processus necessaires a la satisfaction des 
exigences et a la realisation des actions determinees en 6.1, en : 

a) etablissant des criteres pour ces processus ; 

b) mettant en oeuvre la maTtrise de ces processus conformement aux criteres ; et 

c) conservant des informations documentees dans une mesure suffisante pour avoir I'assurance que les 
processus ont ete suivis comme prevu. 

L'organisation doit maTtriser les modifications prevues, analyser les consequences des modifications 
imprevues et, si necessaire, mener des actions pour limiter tout effet negatif. 

L'organisation doit s’assurer que les processus externalises sont maTtrises. 
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8.2 Analyse des impacts sur I'activite et appreciation du risque 

8.2.1 Generalites 

L'organisation doit etablir, mettre en oeuvre et tenir a jour un processus formel et documente d'analyse des 
impacts sur I'activite et depreciation du risque qui : 

a) etablit le contexte de I'appreciation, definit des criteres et evalue I'impact potentiel d'un incident 
perturbateur; 

b) tient compte des exigences legales et de toutes les autres exigences auxquelles l’organisation se 
soumet; 

c) comprend une analyse systematique, I'etablissement de priorites dans les traitements du risque et leurs 
couts associes ; 

d) definit le resultat requis de I'analyse des impacts sur I'activite et de I'appreciation du risque ; et 

e) specifie les exigences de mise a jour et de confidentiality de ces informations. 

NOTE II existe differentes methodes d'analyse des impacts sur I'activite et depreciation du risque qui determineront 

I'ordre dans lequel elles seront effectuees. 

8.2.2 Analyse des impacts sur I'activite 

L'organisation doit definir, mettre en oeuvre et tenir a jour un processus devaluation formel et documente 
permettant de determiner les priorites, ies objectifs et les cibles de continuity d’activite et de reprise. Ce 
processus doit comprendre revaluation des impacts d'une perturbation des activites de support a la fourniture 
des produits et des services de l'organisation. 

L'analyse des impacts sur I'activite doit comprendre les elements suivants : 

a) identification des activites de support a la fourniture de produits et a la prestation de services ; 

b) evaluation des impacts dans le temps en cas de non realisation de ces activites ; 

c) determination des delais, par ordre de priority, de reprise de ces activites a un niveau minimal acceptable 
specifie, en tenant compte de la duree au-dela de laquelle les impacts d'une absence de reprise de ces 
activites deviendraient inacceptables ; et 

d) identification des dependances et des ressources de support de ces activites, y compris les fournisseurs, 
les partenaires externes et les autres parties interessees concernees. 

8.2.3 Appreciation du risque 

L'organisation doit etablir, mettre en oeuvre et tenir a jour un processus formel et documente depreciation du 
risque qui identifie, analyse et evalue de maniere systematique le risque d'incidents perturbateurs pour 
l'organisation. 

NOTE Ce processus peut etre etabli conformement a I'lSO 31000. 
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L'organisation doit: 

a) identifier les risques de perturbation pour les activites prioritaires de l'organisation, ainsi que pour les 
processus, les systemes, les informations, les personnes, les biens, les partenaires externes et les autres 
ressources qui les soutiennent; 

b) analyser le risque de maniere systematique ; 

c) evaluer les risques lies a une perturbation qui necessitent un traitement; et 

d) identifier les traitements proportionnes aux objectifs de continuity d'activite et a I’appetence au risque de 
l'organisation. 

NOTE L'organisation doit avoir conscience que certaines obligations financieres et gouvernementales exigent la 
communication de ces risques a divers niveaux de detail. De plus, certains besoins societaux peuvent egalement justifier 
un partage de ces informations a un niveau de detail approprie. 

8.3 Strategie de continuite d'activite 

8.3.1 Determination et choix 

La determination et le choix d'une strategie doivent etre bases sur les conclusions de I'analyse d’impact sur 
I'activite et de I'appreciation du risque. 

L'organisation doit determiner une strategie de continuite d'activite appropriee pour: 

a) proteger les activites prioritaires ; 

b) stabiliser, poursuivre, reprendre ou retablir les activites prioritaires ainsi que leurs dependences et 
ressources de support; et 

c) attenuer, repondre aux impacts et les gerer. 

La determination de la strategie doit inclure I'approbation des delais de reprise des activites, par ordre de 
priorite. 

L'organisation doit realiser des evaluations de la capacity de continuity d'activite des fournisseurs. 

8.3.2 Etablissement des exigences concernant les ressources 

L'organisation doit determiner les exigences concernant les ressources pour mettre en oeuvre les strategies 
choisies. Les types de ressources consideres doivent comprendre, sans toutefois s'y limiter: 

a) les personnes ; 

b) les informations et les donnees ; 

c) les batiments, I'environnement de travail et les utilites associees ; 

d) les installations, les equipements et les consommables ; 

e) les systemes de technologies de I’information et de la communication (TIC) ; 

f) le transport; 

g) le financement; et 

h) les partenaires et fournisseurs. 
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8.3.3 Protection et attenuation 

Pour les risques identifies necessitant un traitement, I'organisation doit envisager des mesures proactives 
qui : 

a) reduisent la probability de perturbation ; 

b) reduisent la duree de la perturbation ; et 

c) limitent I'impact de la perturbation sur les produits et services cles de I'organisation. 

L'organisation doit choisir et mettre en oeuvre des traitements du risque appropries en fonction de son 
appetence au risque. 

8.4 Etablissement et mise en ceuvre de procedures de continuity d'activite 

8.4.1 Generalites 

L'organisation doit etablir, mettre en oeuvre et tenir a jour des procedures de continuity d'activite lui permettant 
de gerer un incident perturbateur et de poursuivre ses activites, selon les objectifs de reprise identifies lors de 
I'analyse des impacts sur I'activite. 

L'organisation doit documenter les procedures (y compris les dispositions necessaires) lui permettant 
d'assurer la continuity des activites et le management d'un incident perturbateur. 

Les procedures doivent: 

a) etablir un protocole de communications internes et externes approprie ; 

b) etre precis concernant les mesures immediates devant etre prises pendant une perturbation ; 

c) etre souples pour repondre a des menaces non prevues et a des conditions internes et externes 
variables ; 

d) se concentrer sur I'impact d'evenements pouvant potentiellement perturber les operations ; 

e) etre developpees sur la base d'hypotheses etablies et d'une analyse des interdependances ; et 

f) etre efficaces dans la reduction des consequences par la mise en oeuvre de strategies d'attenuation 
appropriees. 

8.4.2 Structure de reponse a un incident 

L'organisation doit etablir, documenter et mettre en ceuvre des procedures et une structure de management 
lui permettant de repondre a un incident perturbateur en faisant appel a un personnel ayant les 
responsabilites, I'autorite et les competences necessaires pour gerer I'incident. 

La structure de reponse doit: 

a) identifier les seuils d'impact justifiant le declenchement d'une reponse formelle ; 

b) evaluer la nature et I'etendue d'un incident perturbateur ainsi que son impact potentiel ; 

c) activer une reponse appropriee en termes de continuity d'activite ; 
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d) disposer de processus et de procedures pour I'activation, le fonctionnement, la coordination et la 
communication de la reponse ; 

e) disposer des ressources disponibles pour soutenir les processus et les procedures de gestion d'un 
incident perturbateur afin d'en reduire au minimum I'impact; et 

f) communiquer avec les parties interessees et les autorites ainsi qu'avec les medias. 

En considerant la securite des personnes comme la premiere priorite et en consultation avec les parties 
interessees concernees, I’organisation doit decider de communiquer ou non, en externe, sur ces risques et 
impacts significatifs et etayer sa decision par des documents. Si I'organisation decide de communiquer, elle 
doit alors etablir et mettre en oeuvre des procedures pour cette communication externe, des alertes et des 
avertissements aupres des medias si besoin. 

8.4.3 Avertissement et communication 

L'organisation doit definir, mettre en oeuvre et tenir a jour des procedures pour: 

a) detecter I’incident; 

b) surveiller regulierement I’incident; 

c) gerer la communication interne au sein de I'organisation et la reception, la documentation et la reponse a 
une communication emanant des parties interessees ; 

d) gerer la reception, la documentation et la reponse a un systeme consultatif national ou regional sur les 
risques ou un systeme equivalent; 

e) garantir la disponibilite des moyens de communication au cours d'un incident perturbateur; 

f) faciliter une communication structuree avec les services d’urgence ; 

g) effectuer I'enregistrement des informations critiques concernant I'incident, les actions entreprises et les 
decisions prises, et les elements suivants doivent egalement etre consideres et mis en oeuvre lorsque 
cela est approprie : 

— I’alerte des parties interessees potentiellement touchees par un incident perturbateur reel ou imminent; 

— I'assurance de I’interoperabilite des multiples services d’urgence et le personnel de I’organisation ; 

— le fonctionnement d'une installation de communication. 

Les procedures de communication et divertissement doivent faire I'objet d'exercices reguliers. 

8.4.4 Plans de continuity d'activite 

L'organisation doit etablir des procedures documentees lui permettant de repondre a un incident perturbateur 
et de poursuivre ou retablir ses activites dans un delai predetermine. De telies procedures doivent concerner 
les exigences applicables a ceux qui les utiliseront. 
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Les plans de continuity d'activite doivent generalement contenir: 

a) les roles et les responsabilites definis des personnes et des equipes ayant autorite pendant et apres un 
incident; 

b) un processus d'activation de la reponse ; 

c) les details permettant de gerer les consequences immediates d'un incident perturbateur en tenant 
dument compte 

1) du bien-etre des individus ; 

2) des options strategiques, tactiques et operationnelles pour repondre a la perturbation ; et 

3) de la prevention de toute perte ou indisponibilite supplementaire d'activites prioritaires ; 

d) les details concernant la maniere et les circonstances dans lesquelles I'organisation communiquera avec 
les employes et leurs proches, les parties interessees cles et les personnes a contacter en cas 
d'urgence ; 

e) la maniere dont I'organisation poursuivra ou reprendra ses activites prioritaires dans les delais 
predetermines ; 

f) les details de la reponse de I'organisation aux medias a la suite d'un incident, y compris : 

1) une strategie de communication ; 

2) I'interface preferee avec les medias ; 

3) des lignes directrices ou un modele de redaction d'une declaration pour les medias ; et 

4) des porte-parole appropries ; 

g) un processus de sortie une fois que I'incident est termine. 

Chaque plan doit definir: 

— le but et le domaine d'application ; 

— les objectifs ; 

— les criteres et les procedures d'activation ; 

— les procedures de mise en oeuvre ; 

— les roles, les responsabilites et les autorites ; 

— les exigences et les procedures de communication ; 

— les interdependances et interactions internes et externes ; 

— les exigences en termes de ressources ; et 

— les processus relatifs au flux d'information et a la documentation. 
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8.4.5 Reprise 

L'organisation doit disposer de procedures documentees lui permettant de retablir et de reprendre ses 
activites en s’appuyant sur des mesures temporaires adoptees pour repondre aux exigences metier 
habituelles apres un incident. 

8.5 Exercices et tests 

L'organisation doit proceder a des exercices et des tests de ses procedures de continuity d'activite afin de 
s'assurer qu'elles sont coherentes avec ses objectifs de continuity d'activite. 

L'organisation doit mener des exercices et des tests qui : 

a) sont coherents avec le perimetre et les objectifs du SMCA ; 

b) reposent sur des scenarios appropries qui sont bien planifies avec des buts et des objectifs clairement 
definis ; 

c) cumules au fil du temps, valident I'ensemble de ses dispositions en matiere de continuity d'activite, en 
impliquant les parties concernees ; 

d) minimisent le risque de perturbation des operations ; 

e) permettent de produire, apres les exercices, des rapports formalises contenant les resultats, des 
recommandations et des actions pour mettre en oeuvre des ameliorations ; 

f) sont revus dans le cadre d'une promotion de I'amelioration continue ; et 

g) sont menes a des intervalles planifies et lorsque des changements significatifs interviennent au sein de 
l'organisation ou dans I'environnement dans lequel elle opere. 

9 Evaluation des performances 

9.1 Supervision, mesurage, analyse et evaluation 

9.1.1 Generalites 

L'organisation doit determiner: 

a) ce qu’il est necessaire de surveiller et mesurer; 

b) les methodes de supervision, de mesurage, d'analyse et devaluation, selon le cas, pour assurer la 
validity des resultats ; 

c) quand la surveillance et la mesure doivent etre effectuees ; et 

d) quand les resultats de la surveillance et de la mesure doivent etre analyses et evalues. 

L’organisation doit conserver des informations documentees pertinentes comme preuves des resultats. 
L'organisation doit evaluer les performances du SMCA, ainsi que I’efficacite du SMCA. 
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En outre, I'organisation doit: 

— agir, lorsque cela est necessaire, pour remedier aux evolutions ou resultats negatifs avant I'apparition 
d'une non-conformite ; 

— conserver des informations documentees appropriees comme preuves des resultats. 

Les procedures de supervision des performances doivent prevoir: 

— d'etablir des mesures de performances adaptees aux besoins de I'organisation ; 

— de surveiller dans quelle mesure la politique, les objectifs et les cibles de continuite d'activite de 
I'organisation sont respectes/atteints ; 

— les performances des processus, des procedures et des fonctions qui protegent ses activites prioritaires ; 

— de surveiller la conformite a la presente Norme Internationale et aux objectifs de continuite d'activite ; 

— de surveiller les preuves historiques de performances insuffisantes du SMCA ; et 

— d'enregistrer les donnees et les resultats de la surveillance et des mesures pour faciliter les actions 
correctives ulterieures. 

NOTE Les performances insuffisantes peuvent comprendre une non-conformite, des quasi-accidents, des fausses 
alertes et des incidents reels. 

9.1.2 Evaluation des procedures de continuite d'activite 

a) L'organisation doit mener des evaluations de ses procedures et de ses capacites en matiere de continuite 
d'activite pour s'assurer qu'elles demeurent pertinentes, adequates et efficaces ; 

b) ces evaluations doivent etre realisees par le biais de revues periodiques, d'exercices, de tests, de 
rapports post-incident et devaluations des performances. Les changements significatifs intervenus 
doivent etre pris en compte en temps opportun dans la ou les procedures ; 

c) I'organisation doit evaluer periodiquement la conformite aux exigences legales et reglementaires 
applicables, aux meilleures pratiques de son secteur ainsi que la conformite a sa propre politique de 
continuite d'activite et aux objectifs associes ; et 

d) I'organisation doit mener des evaluations a des intervalles planifies et lorsque des changements 
significatifs interviennent. 

Lorsqu'un incident perturbateur se produit et entraTne I'activation de ses procedures de continuite d'activite, 
I'organisation doit proceder a une revue apres I'incident et enregistrer les resultats. 

9.2 Audit interne 

L'organisation doit realiser des audits internes a des intervalles planifies afin de recueillir des informations 
permettant de determiner si le systeme de management de la continuite d'activite. 

a) est conforme : 

1) aux exigences propres de I'organisation concernant son SMCA ; 

2) aux exigences de la presente Norme internationale ; et 

b) est efficacement mis en oeuvre et tenu a jour. 
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L'organisation doit: 

— planifier, etablir, mettre en oeuvre et tenir a jour un (des) programme(s) d'audit, couvrant notamment la 
frequence, les methodes, les responsabilites, les exigences de planification et de comptes rendus. Le(s) 
programme(s) d’audit doi(ven)t tenir compte de I'importance des processus concernes et des resultats 
des audits precedents, 

— definir les criteres d’audit et le perimetre de chaque audit; 

— selectionner des auditeurs et realiser des audits pour assurer I'objectivite et I'impartialite du processus 
d'audit; 

— s’assurer qu’il est rendu compte des resultats des audits a la Direction concernee ; et 

— conserver des informations documentees comme preuves de la mise en oeuvre du programme d’audit et 
des resultats d’audit. 

Le programme d'audit, quel que soit le moment ou il est conduit, doit reposer sur les resultats des evaluations 
du risque des activites de l'organisation et sur les resultats des audits precedents. Les procedures d'audit 
doivent englober le perimetre, la frequence, les methodologies et les competences, ainsi que les 
responsabilites et les exigences applicables a la conduite des audits et a la redaction d’un rapport presentant 
les resultats. 

Le management responsable du domaine audite doit assurer que toutes les corrections et actions correctives 
necessaires sont entreprises sans delai indu pour eliminer les non-conformites detectees et leurs causes. Les 
actions de suivi doivent inclure la verification des actions entreprises et le compte-rendu des resultats de cette 
verification. 

9.3 Revue de direction 

A des intervalles planifies, la Direction doit proceder a la revision du SMCA de l’organisation, a des intervalles 
planifies afin de s’assurer qu’il est toujours approprie, adapte et efficace. 

La revue de Direction doit prendre en compte : 

a) I’etat d'avancement des actions decidees lors des revues de direction precedentes ; 

b) les modifications des enjeux externes et internes pertinents pour le systeme de management de la 
continuity d'activite ; 

c) les informations sur les performances en matiere de continuity d'activite, y compris les tendances 
concernant: 

1) les non-conformites et les actions correctives ; 

2) les resultats de revaluation de la supervision et du mesurage ; et 

3) les resultats des audits ; 

d) les axes d'amelioration continue. 
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Les revues de direction doivent prendre en compte les performances de I'organisation, y compris : 

— le suivi des actions decidees lors des revues de direction precedentes ; 

— la necessity d'apporter des modifications au SMCA, y compris la politique et les objectifs ; 

— les axes d'amelioration ; 

— les resultats des audits et des revisions du SMCA, y compris ceux des fournisseurs et partenaires cles le 
cas echeant; 

— les techniques, les produits ou les procedures, qui pourraient etre utilises dans I’organisation pour 
ameliorer les performances et I'efficacite du SMCA ; 

— I'etat d'avancement des actions correctives ; 

— les resultats des exercices et des tests ; 

— les risques ou les questions qui n'ont pas ete traites de maniere appropriee lors d'une precedente 
evaluation des risques ; 

— tous les changements pouvant affecter le SMCA, qu'ils soient internes ou externes au perimetre du 
SMCA; 

— I'adequation de la politique ; 

— les recommandations d'amelioration ; 

— les legons tirees et les actions decoulant d'incidents perturbateurs ; et 

— les bonnes pratiques et lignes directrices qui apparaissent. 

Les conclusions de la revue de direction doivent inclure les decisions relatives aux axes d'amelioration 
continue et aux eventuels changements necessaires a apporter au SMCA, et comprendre les elements 
suivants : 

a) les variations apportees au perimetre du SMCA ; 

b) ('amelioration de I'efficacite du SMCA ; 

c) la mise a jour de revaluation des risques, du bilan d’impact sur les activites, des plans de continuity 
d'activite et des procedures associees ; 

d) la modification des procedures et des controles pour repondre a des evenements internes ou externes qui 
peuvent influer sur le SMCA, y compris les changements apportes aux : 

1) exigences metier et operationnelles ; 

2) exigences de reduction des risques et de securite ; 

3) conditions et processus operationnels ; 

4) exigences legales et reglementaires ; 

5) obligations contractuelles ; 

6) niveaux de risque et/ou criteres d'acceptation des risques, 

7) besoins en termes de ressources ; 

8) exigences en matiere de financement et de budget; et 
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e) la maniere dont I'efficacite des controles est mesuree. 

L'organisation doit conserver des informations documentees attestant des conclusions des revues de 
direction. 

L'organisation doit: 

— communiquer les conclusions de la revue de direction aux parties interessees concernees ; et 

— entreprendre I'action appropriee en relation avec ces conclusions. 

10 Amelioration 

10.1 Non-conformite et actions correctives 

Lorsqu’une non-conformite se produit, l’organisation doit 

a) identifier la non-conformite ; 

b) reagir a la non-conformite, et le cas echeant: 

1) agir pour la maTtriser et la corriger; et 

2) faire face aux consequences ; 

c) evaluer s’il est necessaire de mener une action pour eliminer les causes de la non-conformite, de sorte 
qu’elles ne se reproduisent pas, au meme endroit ou ailleurs, en : 

1) revisant la non-conformite ; 

2) determinant les causes de la non-conformite ; et 

3) determinant si des non-conformites similaires existent, ou pourraient potentiellement se produire ; 

4) evaluant le besoin d'entreprendre des actions correctives pour s’assurer que les non-conformites ne 
se reproduisent pas, au meme endroit ou ailleurs ; 

5) determinant et mettant en oeuvre les actions correctives necessaires ; 

6) revisant I'efficacite de toute action corrective mise en oeuvre ; et 

7) modifiant, si necessaire, le SMCA ; 

d) mettre en oeuvre toutes les actions necessaires ; 

e) reviser I'efficacite de toute action corrective mise en oeuvre ; 

f) modifier, si necessaire, le systeme de management de la continuity d'activite. 
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Les actions correctives doivent etre a la mesure des effets des non-conformites rencontrees. 

L'organisation doit conserver des informations documentees comme preuves : 

— de la nature des non-conformites et de toute action subsequente ; et 

— des resultats de toute action corrective. 

10.2 Amelioration continue 

L'organisation doit continuellement ameliorer la pertinence, I'adequation et I'efficacite du SMCA. 

NOTE L'organisation peut utiliser les processus du SMCA tels que le leadership, la planification et revaluation des 
performances, afin d'aboutira une amelioration. 
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